指导性案例195号解读：验证码纳入公民个人信息范畴下的企业合规启示

在数字经济背景下，公民个人信息的保护与企业数据合规管理愈发紧密，最高人民法院发布的指导性案例195号（罗某某、瞿某某侵犯公民个人信息刑事附带民事公益诉讼案），明确了“验证码”的法律属性及相关行为的定罪逻辑，对企业尤其是涉及客户信息处理的行业，具有重要的参考价值。本文将结合案例核心内容，拆解法律要点，并梳理对企业合规管理的实践启示。

一、案例核心裁判要点：明确验证码的法律属性与行为定性

本案的核心价值在于清晰界定了“验证码”的法律地位，以及特定场景下出售公民个人信息行为的定罪标准，具体裁判要点如下：

（一）验证码属于刑法意义上的公民个人信息

服务提供者向特定手机号码发送的数字、字母单独或组合构成的验证码，具有“独特性”与“隐秘性”——既能单独对应特定自然人的手机号码，也可与手机号码结合识别自然人身份、反映其活动情况（如账号注册、身份验证等），符合《中华人民共和国刑法》第253条之一关于“公民个人信息”的定义，属于受刑法保护的公民个人信息范畴。

（二）特定场景下出售验证码的行为定性

行为人在提供服务过程中（如本案中电信营业厅服务、客户信息管理等）获取验证码及对应手机号码后，将其出售给他人，若达到“情节严重”标准（如获利数额、信息数量、危害范围等），即构成“侵犯公民个人信息罪”，而非仅属于民事侵权或行政违规。

二、基本案情梳理：行为链条与涉案情节

本案的行为主体涉及企业员工与组织者，行为链条围绕“非法获取-集中流转-出售获利”展开，具体情节可概括为以下三方面：

（一）行为发起与分工

2019年12月至2021年7月期间，被告人罗某某（原电信公司培训老师）发现通过获取他人手机号及验证码为平台“拉新”（注册淘宝、京东等APP新账号）可获利，遂与多名从事“拉新”的人员建立联系，并搭建微信群作为信息流转平台——群内明确“拉新”规则、价格，由罗某某管理维护；被告人瞿某某（中国移动营业厅销售员）及其他电信行业员工，利用职务便利获取客户的手机号码及对应验证码，发送至群内供“拉新”人员使用。

（二）获利与退缴情况

罗某某通过每条“拉新”信息获取0.2-2元报酬，累计获利1.3万元；瞿某某通过出售信息累计获利9266.5元。案发后，二人已全额退缴违法所得（瞿某某退缴9926.5元，罗某某退缴1.3万元），且均如实供述犯罪事实、自愿认罪认罚。

（三）公益诉讼主体适格性

株洲市渌口区人民检察院于2021年7月22日公告案件情况，公告期内无法律规定的机关或组织提起民事公益诉讼，故检察机关作为适格主体，提起刑事附带民事公益诉讼，主张二被告人承担民事责任（如公开赔礼道歉、删除涉案信息）。

三、裁判结果：刑事责任与民事责任的双重承担

湖南省株洲市渌口区人民法院于2021年11月30日作出判决，对二被告人的刑事责任、违法所得及作案工具作出明确处理，同时支持了公益诉讼请求：

（一）刑事责任认定

1.罗某某犯侵犯公民个人信息罪，判处有期徒刑八个月，并处罚金2万元；

2.瞿某某犯侵犯公民个人信息罪，判处有期徒刑六个月，并处罚金1.5万元。

（二）财产与工具处理

1.作案工具（OPPORENO手机1台、华为P30Pro手机1台）予以没收，依法处理；

2.二人违法所得（罗某某1.3万元、瞿某某9266.5元）予以没收，上缴国库。

（三）民事公益诉讼结果

因二被告人对侵权行为无异议，且同意公开赔礼道歉、永久删除涉案个人信息，法院支持了检察机关的附带民事公益诉讼请求，明确二人需承担相应民事责任。

四、裁判理由：法律适用与辩护意见的核心论证

法院的裁判理由围绕“罪名认定”“情节考量”“辩护意见审查”展开，进一步明确了案件的法律逻辑，对类似案件的处理具有指导意义：

（一）罪名选择：优先适用侵犯公民个人信息罪

罗某某设立通讯群组出售公民个人信息的行为，同时符合“非法利用信息网络罪”与“侵犯公民个人信息罪”的构成要件，法院根据“特别法优于普通法”及“罪责刑相适应”原则，认定应以“侵犯公民个人信息罪”定罪；瞿某某在提供服务过程中出售公民个人信息，直接符合侵犯公民个人信息罪的构成要件，罪名认定无争议。

（二）共同犯罪与量刑情节考量

1.共同犯罪地位：罗某某组织协调、搭建平台，瞿某某直接获取并出售信息，二人作用相当，均认定为主犯；

2.从重与从宽情节：瞿某某利用服务便利出售信息，酌情从重；二人坦白、退缴全部赃款、认罪认罚，均依法从宽处理，故量刑时结合情节差异确定了不同的刑期与罚金。

（三）辩护意见的审查逻辑

1.针对“手机号与验证码不属于个人信息”的辩护：法院明确，个人信息的核心是“识别特定自然人”，手机号本身可直接识别，验证码与手机号结合可验证身份，二者均符合定义；

2.针对“罗某某未自行提供信息”的辩护：法院指出，罗某某不仅纠集他人参与，还搭建违法信息流转平台并获利，属于犯罪核心环节，应承担全部责任；

3.针对“瞿某某有立功情节”的辩护：法院认为，其提供罗某某的住址、联系方式，属于“交代与本人犯罪相关的事实”，不构成立功，故未采纳。

五、对企业尤其是外商投资企业的合规启示

本案中，侵权行为源于企业员工利用职务便利泄露客户信息，暴露出企业在信息管理、员工合规培训等方面的漏洞。对于注重数据合规的外商投资企业而言，可从以下四方面完善管理：

（一）明确“公民个人信息”的范畴，避免认知盲区

企业需结合本案裁判规则，扩大对“个人信息”的识别范围——除传统的姓名、身份证号、手机号外，验证码、登录令牌、消费记录等“可识别特定自然人”的信息，均属于受法律保护的公民个人信息，需纳入合规管理范畴，尤其在账号注册、身份验证、客户服务等环节，不得随意收集、存储或流转此类信息。

（二）强化员工行为管理，阻断“内部泄露”渠道

本案中员工利用职务便利获取信息的行为，提示企业需建立“全流程员工信息管理机制”：

1.入职培训：明确告知员工信息保护的法律责任，尤其针对客服、销售、技术等接触客户信息的岗位，强调“不得泄露、出售信息”的禁止性规定；

2.权限控制：对客户信息实行“最小必要”权限管理，避免单一员工获取完整信息（如手机号与验证码分离管理）；

3.行为监督：定期核查员工信息操作记录，对异常下载、传输客户信息的行为及时预警，必要时采取纪律或法律措施。

（三）完善内部合规制度，衔接刑事与民事责任

企业需结合《刑法》《个人信息保护法》《数据安全法》等法律法规，建立覆盖“信息收集-存储-使用-删除”全周期的合规制度：

1.收集环节：确保获得客户明确同意，且仅收集与服务相关的信息；

2.存储环节：采用加密、脱敏等技术手段保护信息安全，避免数据泄露；

3.责任衔接：若发生员工泄露信息的情况，除追究员工责任外，企业需及时采取补救措施（如删除涉案信息、向客户告知情况），避免因“未履行管理义务”承担连带民事责任，甚至被认定为“单位犯罪”。

（四）关注公益诉讼风险，主动承担社会责任

本案中检察机关提起刑事附带民事公益诉讼，提示企业：除刑事责任与民事赔偿外，侵犯公民个人信息还可能涉及“公共利益损害”（如众多不特定客户的信息安全）。企业若发生信息泄露事件，应主动与监管部门、检察机关沟通，及时采取公开赔礼道歉、删除信息、补偿损失等措施，降低公益诉讼风险，维护企业社会形象。

六、结语

指导性案例195号通过明确“验证码”的法律属性，进一步压缩了公民个人信息保护的“灰色地带”，也对企业的数据合规管理提出了更高要求。对于外商投资企业而言，完善信息保护机制不仅是遵守中国法律的基本要求，也是保障客户信任、维护企业声誉的重要举措。若企业需进一步梳理数据合规流程、开展员工法律培训或应对信息泄露风险，可通过专业法律服务搭建系统化的合规体系，实现法律风险与经营发展的平衡。

------------------------------------------------------------------

律师简介:

黄朝阳律师，资深跨境投融资和贸易法律及合规顾问，毕业于中南财经政法大学经济法系。拥有20余年的中外资银行业工作经历，曾长期供职于交通银行、香港永亨银行和新加坡华侨银行等金融机构。

在银行业长期的从业生涯中，黄朝阳律师一直专注于为跨国公司和有进出口业务背景的企业提供法律和合规顾问服务。他不仅熟悉中国国情，对本土企业的商业模式及合规需求有深入理解；更精通我国香港特别行政区、新加坡等东南亚国家和地区的金融法规，为众多知名跨国企业的跨境投融资业务提供专业支持。

凭借扎实的法律功底和丰富的实践经验，黄朝阳律师对跨境投融资、国际贸易、金融合规、知识产权等领域的法律实务运作有独到见解，尤其擅长解析不同国家和地区法律法规的差异，为企业量身制定合规方案。目前，他执业于广东广和（佛山）律师事务所，为企业提供全方位的法律、合规管理和风险控制解决方案。

联系方式:

Email: alexhuang@ghlawyer.net

电话: 13802689686（微信同号）

为企业提供以下法律服务:

海外投资法律专项服务

贸易纠纷咨询及诉讼

出口合规审查及培训

反补贴和反倾销调查应对

海关稽查及复议程序

并购交易合规尽职调查

......

#指导性案例 195 号 #验证码 公民个人信息 #侵犯公民个人信息罪 #企业数据合规 #外商投资企业合规 #个人信息保护法 #数据安全法 #企业员工信息管理 #刑事附带民事公益诉讼 #hashtag optimization #Hashtag Strateg

‍